WordPressサイトを運営しているなら、コンタクトフォーム、WordPressのコメント、またはユーザー登録のいずれであっても、スパムが非常に厄介な問題であることをご存知でしょう。
良いニュースは、WordPressでのスパムの停止は、あなたが考えているよりもはるかに簡単であり、高価なツールも必要ないということです。
私たちは16年以上にわたり、アンチスパムプラグイン、ツールをテストし、WPBeginnerやその他のビジネスウェブサイトを日々のスパム攻撃から安全に保つための戦略を洗練させてきました。
この究極のガイドでは、WordPressスパムの各タイプをブロックする方法を、基本から高度な最新の自動スパム保護まで、ステップバイステップで説明します。これらは、私たち自身のウェブサイトを保護するために使用している正確な方法です。

この究極のガイドでは多くのことをカバーしていますので、最初に知りたいセクションに直接ジャンプするには、以下のクイックリンクを使用してください。
1. まず最初にオンにする無料の組み込み設定
WordPressには、サイトをスパムから保護できるいくつかのアンチスパムオプションが組み込まれています。これらの組み込みオプションはすべてのボットを停止させるわけではありませんが、最も簡単なターゲットをすぐに削除します。
これらは費用がかからず、設定に数分しかかからないため、まずこれらの設定をオンにすることをお勧めします。
WordPressディスカッション設定を強化する
コメントスパムを防ぐために、WordPressの組み込みディスカッション設定が最初の防御線として機能します。これにより、誰が投稿できるか、どのような種類のリンクが許可されるか、会話をどの程度制御できるかを制御できます。
これらのアンチスパムコントロールを設定するには、WordPressダッシュボードの設定 » ディスカッションに移動します。

この画面で最も便利なツールは、コメントモデレーションキューです。このツールは、あなたが確認する機会を得るまで、投稿を一般に非表示にしておく保留エリアとして機能します。
何も自動的に公開されないため、スパムが他のフィルターを通過した場合でも、訪問者に届くことはありません。
これをオンにするには、「コメントが表示される前に」セクションまでスクロールし、「コメントは手動で承認される必要があります」の横にあるボックスをチェックします。

必要に応じて、「コメント投稿者は以前に承認されたコメントを持っている必要があります」を有効にすることもできます。これにより、リピーターは承認を待たずに投稿できます。ただし、公開されたコメントはモデレーションキューに表示されないため、定期的に確認してください。
その後、「コメントモデレーション」ボックスまでスクロールすると、リンクを制限する設定があります。スパムコメントにはほぼ常にウェブアドレスが含まれているため、WordPressはリンクが多すぎる投稿を自動的に保留できます。
「[X]以上のリンクを含むコメントはキューに保持する」というラベルのフィールドは、デフォルトで2に設定されています。この数値を1に下げると、より多くのジャンクをキャッチするのに役立ちます。

同じ画面で、コメントブロックリストを使用して不要なコンテンツを自動的にフィルタリングできます。このツールは、特定の単語、名前、メールアドレス、またはウェブアドレスを検索し、一致したコメントをすべてゴミ箱に直接送信します。
「無効なコメントキー」ボックスに、独自のトリガーワードを1行に1つずつ貼り付けてから、変更を保存できます。

名前とメールを必須にし、初回コメント投稿者を保留する
健全な議論は、実在する人々から始まります。コメント投稿者に名前とメールを入力することを要求することで、より思慮深い会話が促進され、匿名での無責任なコメントが抑制されます。
ほとんどの誠実な訪問者はこれらの詳細を提供することを気にしないでしょう。これは、あなたのウェブサイトを中心とした、より歓迎的で信頼できるコミュニティの作成に役立ちます。
これを有効にするには、「その他のコメント設定」セクションまでスクロールし、「コメント投稿者は名前とメールを入力する必要があります」の横にあるチェックボックスをオンにします。

レビュープロセスをマスターし、キューを効率的に管理したい場合は、WordPressでのコメントモデレーションに関する初心者向けガイドで、ワークフロー全体をカバーしています。
必要のない場所でコメントを無効にする
お持ちのウェブサイトの種類によっては、コメントセクションがまったく必要ない場合があります。その場合は、コメントを完全に無効にするだけで、WordPressのコメントスパムの問題を一度きり解決できます。
最も徹底的なオプションはコードメソッドであり、サイト全体のコメントサポートを一度に無効にします。テーマファイルを直接編集するのではなく、WPCodeのような無料のコードスニペットプラグインでスニペットを追加するのが最も安全です。これにより、テーマの更新で元に戻されることはありません。
add_action('admin_init', function () {
// Redirect any user trying to access comments page
global $pagenow;
if ($pagenow === 'edit-comments.php') {
wp_safe_redirect(admin_url());
exit;
}
// Remove comments metabox from dashboard
remove_meta_box('dashboard_recent_comments', 'dashboard', 'normal');
// Disable support for comments and trackbacks in post types
foreach (get_post_types() as $post_type) {
if (post_type_supports($post_type, 'comments')) {
remove_post_type_support($post_type, 'comments');
remove_post_type_support($post_type, 'trackbacks');
}
}
});
// Close comments on the front-end
add_filter('comments_open', '__return_false', 20, 2);
add_filter('pings_open', '__return_false', 20, 2);
// Hide existing comments
add_filter('comments_array', '__return_empty_array', 10, 2);
// Remove comments page in menu
add_action('admin_menu', function () {
remove_menu_page('edit-comments.php');
});
// Remove comments links from admin bar
add_action('init', function () {
if (is_admin_bar_showing()) {
remove_action('admin_bar_menu', 'wp_admin_bar_comments_menu', 60);
}
});
WordPressでコメントを完全に無効にする方法に関するガイドでは、そのスニペットと他のオプションについて説明しています。
サイト全体ではなく、個々のページでコメントをオフにすることもできます。これは、コメントセクションがほとんど必要ない連絡先ページや「会社概要」ページなど、特定のページでのみコメントを削除したい場合に便利です。
これを行うには、WordPressコンテンツエディターでページを開きます。次に、右側のサイドバーにある「ディスカッション」オプションをクリックし、「クローズ」を選択します。

また、新しい投稿に触れることなく、古いコンテンツにスパムが蓄積するのを防ぐこともできます。古い投稿にコメントが期待できない場合は、WordPressは設定された日数後に自動的にコメントを閉じることができます。
これにより、スパムボットがアーカイブされたコンテンツをターゲットにする機会が少なくなります。
これを設定するには、設定 » ディスカッションに移動し、「その他のコメント設定」セクションを見つけます。「[X]日より古い投稿のコメントを自動的に閉じる」の横にあるチェックボックスをオンにしてから、30日または90日などの適切な制限を設定します。

トラックバックとピンバックを無効にする
トラックバックとピンバックは、他のウェブサイトがあなたのブログ投稿のいずれかにリンクしたと主張したときに通知します。
元々はブロガーが異なるウェブサイト間で会話を接続できるようにするために設計されていましたが、現在ではスパマーが偽のリンク通知を送信するために一般的に悪用されています。
この機能を完全にオフにすると、ダッシュボードからジャンク通知のカテゴリ全体が削除されます。
これらの通知を無効にするには、WordPressダッシュボードの 設定 » ディスカッション 画面に移動します。ここで、「新しい投稿での他のブログからのリンク通知(ピンバックおよびトラックバック)を許可する」の横にあるチェックボックスをオフにします。

それが完了したら、画面下部にある「変更を保存」をクリックすることを忘れないでください。
このオプションを変更しても、今後公開する投稿のみが保護されることに注意してください。過去に既に公開したコンテンツをクリーンアップしたい場合は、既存のWordPress投稿でトラックバックとピンバックを無効にする方法のステップバイステップガイドに従ってください。
2. WordPress用の最新AI搭載スパムボット保護を設定する
自動化されたスパムが増加しているAI時代において、それに対する最善の防御策は、WordPress用の最新のAI搭載スパム対策です。
これらのスパムフィルタリングソリューションは、コンバージョンを損なう可能性のあるCAPTCHAを使用せずに、WordPressのコメント、お問い合わせフォーム、ユーザー登録のスパムを自動的に検出しブロックします。
WPBeginnerでは、これにActiveLayerを使用しています。AI搭載でサーバーサイドで実行されるため、CAPTCHAなしで目立たずにスパムを停止し、GDPRに準拠しています。
過去30日間で、当社のウェブサイトで25,739件以上のスパムコメントとお問い合わせフォームの送信をブロックしました。確認スコアと、単なる合格・不合格の判定ではなく、ログを確認した際の各送信の背後にある理由も表示されます。

無料プランにはクレジットカード不要で1,000件のスパムチェックが含まれており、有料プランは年間請求で月額約4ドルから始まります。
試すことができるWordPress用の他の2つの人気のあるスパムフィルタリングプラグインは、AkismetまたはCleanTalkです。
Akismetは非常に人気があり、個人ブログには依然として適しています。その「価格設定」プランは非営利サイトでは無料になる場合があります。しかし、商用サイトの価格を大幅に引き上げたため、中小企業にとってはかなり高価です。ビジネスサイトの場合は、ActiveLayerまたはCleanTalkをお勧めします。
どちらのツールを選択しても、1つだけにしてください。なぜなら、同時に2つのスパムフィルターを実行すると競合して実際の訪問者をブロックする可能性があるからです。これらのスパム対策プラグインの利点は、デフォルトですべての他の人気のお問い合わせフォームプラグインと統合されていることです。
3. WordPressコメントスパムを停止するためのパワーユーザー向けヒント
これまでは、WordPressの組み込みスパム防止設定と、WordPress用の自動スパムフィルタリングプラグインを設定しました。これら2つの組み合わせでほとんどのスパムをブロックできるはずです。
ただし、コストやその他の理由で最新のAIスパム対策を設定できない場合は、以下のヒントのいずれかを使用してWordPressのコメントスパムと戦うことができます。
コメントフォームに無料のCAPTCHAを追加する
CAPTCHAは、ほとんどの人間訪問者は何もせずに簡単に通過できるが、自動化されたスクリプトは失敗する簡単なテストです。WPBeginnerでは、Cloudflare Turnstile CAPTCHAをWordPressのコメントに追加することを推奨しています。なぜなら、無料で比較的簡単にセットアップできるからです。
セットアップするには、無料のSimple Cloudflare Turnstileプラグインをインストールして有効化します。Cloudflareのウェブサイトで無料アカウントを作成し、プラグインと連携するように求められます。
それが完了したら、「Enable Turnstile on your forms」セクションまでスクロールできます。すべてのWordPressフォームを保護するためにチェックボックスをオンにし、「Save Changes」をクリックするだけです。

WordPressにCloudflare Turnstile CAPTCHAを追加する方法についての詳細ガイドはこちらをご覧ください。
Google reCAPTCHAも別の選択肢であり、Advanced Google reCAPTCHAプラグインで追加できます。Googleは無料枠を組織全体で月10,000件に制限しているため、Cloudflare Turnstileは制限なく無料で利用できるのに対し、私たちはもうそれを推奨していません。
コメントを制限またはログインを必須にする
WordPressでコメントスパムを停止するためのもう1つの非常に効果的な方法は、コメントに参加できるユーザーを制御することです。
コメントセクションが誰にでも開かれている場合、スパマーは自動化されたリンクでフォームを継続的に氾濫させることができます。コメントを登録済みアカウント保有者に制限することで、検証済みのユーザーのみが投稿できるようになります。これにより、ほとんどのボットが回避しようとしないレベルの説明責任が強制されます。
読者はアカウントを作成してログインするという追加の手順を踏む必要があるため、このアプローチはメンバーシップサイト、オンラインフォーラム、プライベートコミュニティに最適です。
公開ブログを運営している場合は、代わりに自動フィルタリングサービスまたは読者チャレンジを使用することをお勧めします。これらは、より少ない摩擦で追加できます。
この制限をオンにすることにした場合は、WordPressダッシュボードの設定 » ディスカッションに移動します。「その他のコメント設定」セクションで、「ユーザーはコメントするために登録してログインしている必要があります。」の横にあるチェックボックスをオンにします。

いつものように、変更を保存することを忘れないでください。
無料のキーワードおよびパターンフィルタリングのためにAntispam Beeを使用する
一部のスパムは、人間のライティングを模倣することで基本的なチェックをすり抜けます。ここで、専用のフィルタリングプラグインがサイトを保護するのに役立ちます。
Antispam Beeは、APIキーやアカウント登録を必要としない、優れた無料のプライバシー重視のスパム対策プラグインです。Antispam Beeをインストールすると、コメントデータがデータベースに到達する前に分析するための強力なローカルルールセットが提供されます。
有効化したら、設定 » Antispam Beeに移動してルールを設定できます。

次のオプションを有効にすることをお勧めします。
- 承認済みのコメント投稿者を信頼する。
- スパムとしてマークする。
- 削除しない。
- 正規表現を使用する(これにより、プラグインは既知のテキストおよびリンクパターンをスキャンできます)。
「ローカルスパムデータベースを確認する」のチェックボックスもオンにする必要があります。これにより、Antispam Beeは新しい投稿をサイトの以前のスパム履歴とクロスリファレンスできます。

「高度な設定」の下で、Antispam Beeが一定期間経過後に既存のスパムを削除するように設定でき、手作業なしでデータベースを整理できます。
このセクションでは、スパムのメール通知をオフにすることをお勧めします。忙しいウェブサイトでは、1日に数百件の自動送信が送信される可能性があり、これらのアラートはすぐに受信トレイを溢れさせてしまいます。
もう一つ無料の調整を試したい場合は、ウェブサイトのアドレスフィールドをコメントフォームから削除できます。
コメントフォームからウェブサイトのURLフィールドを削除する方法に関するステップバイステップガイドでは、数回の簡単な手順でこれを実行する方法を示しています。
4. WordPressコンタクトフォームスパムの停止(ベストプラクティス)
お問い合わせフォームやリードフォームは、WordPressサイトで最も攻撃されやすい部分の1つです。私たちは、かつて1つのフォームに18,000件以上のスパムエントリが殺到するのを撃退しなければならなかったため、これを直接知っています。
WPBeginnerではWPFormsを使用してフォームを作成しています。これは500万以上のウェブサイトで使用されている人気のフォームビルダープラグインです。それらの無料版には、スマートなスパム対策保護、Google / Cloudflare TurnstileとのCAPTCHA統合が含まれており、有料プランでは以下で説明するフィルタリングオプションが追加されます。
Gravity FormsやFluent Formsのような他の人気のフォームビルダーにも同様のスパム対策設定がありますので、使用しているフォームビルダープラグインのオプションを確認してください。ここではWPFormsを示します。なぜなら、私たちがそれを使用しており、初心者にとって最良の選択肢と考えているからです。
デフォルトのスパム対策トークン(または類似のハニーポット)を有効にする
リードフォームのスパムと戦うために、WPFormsはページロードごとにフォームにユニークで時間制限のあるトークンをサイレントに添付します。スパム対策トークンは自動化されたスクリプトをブロックするため、スパムエントリは受信トレイに届く前にブロックされます。
新しいフォームではデフォルトでオンになっていますが、確認する価値はあります。
フォームを開き、設定 » スパム保護とセキュリティに移動し、「最新のスパム対策保護を有効にする」がオンになっていることを確認してください。

これは、ほとんどのWordPressフォームプラグインに付属しているハニーポットテクノロジーの最新バージョンであり、使用している可能性のある他のフォームツールではハニーポットとして表示されている場合があります。
お問い合わせフォームにCAPTCHAを有効にする
より攻撃的なボットは人間のブラウジングを模倣し、目に見えないトークンをすり抜けます。表示されるCAPTCHAフィールドを追加すると、読み取ったり解決したりできないチャレンジを強制することで、それらを停止させます。
WPFormsにはCloudflare TurnstileとGoogle reCAPTCHAの両方が組み込まれており、ここではTurnstileをデフォルトにしています。これは誰でも無料で利用でき、バックグラウンドでチェックを実行するため、ほとんどの実際の訪問者はパズルを解かずに通過できます。
設定するには、WPForms » 設定 » CAPTCHAに移動し、「Cloudflare Turnstile」を選択してください。

次に、Cloudflareアカウントからサイトキーとシークレットキーを追加し、設定を保存します。
最後に、保護したい各フォームにCAPTCHAフィールドを追加します。

完全なウォークスルーについては、WordPressにCloudflare Turnstile CAPTCHAを追加する方法のガイドを参照してください。
Google reCAPTCHAも、同じWPForms » 設定 » CAPTCHA画面で選択できます。デフォルトではTurnstileを使用していますが、これは制限なしで無料であるためです。ただし、お好みであればreCAPTCHAも引き続き機能します。
訪問者データをGoogleやCloudflareに送信したくない場合は、WPFormsのカスタムCAPTCHAフィールド(有料プランで利用可能)を使用すると、代わりに独自のサーバーでチャレンジを構築できます。
フィールドを追加し、ランダムな計算問題または独自の質問と回答に設定します。

時間ベースの行動チェックを使用してコンタクトフォームスパムを停止する
人間は質問を読んでフォームに入力するのに数秒かかりますが、ボットは1秒未満で送信します。時間ベースのチェックは、訪問者が見ているものを何も変更せずに、ありえないほど速い送信をフラグ付けします。
WPFormsでは、「送信までの最小時間を有効にする」オプションがデフォルトで有効になっており、送信までの最小時間は2秒です。ただし、最小時間を好きな値に更新できます。

国、IP、メールアドレスなどでフォーム送信をブロックする
コンテンツ自体をスクリーニングしない限り、一部のスパムフォーム送信は依然として通過します。Proバージョンでは、WPFormsを使用すると、特定のメールアドレス、キーワード、国またはIPアドレスでエントリをブロックできます。
送信者をブロックするには、フォームを開き、[メール]フィールドを選択し、[詳細設定]タブを開き、[拒否リスト]を選択して、ブロックするアドレスまたはドメインを入力します。*@example.comのようなワイルドカードは、ドメイン全体をブロックします。

スパムのようなフレーズをブロックするには、設定 » スパム保護とセキュリティに移動します。
「キーワードフィルターを有効にする」をオンにし、「キーワードリストを編集」を開いて、各用語を独自の行に追加します。

また、特定の地域のみにサービスを提供している場合は、同じ画面で「国フィルターを有効にする」をオンにして、場所を許可または拒否します。

または、WordPressフォームソリューションにこのオプションがない場合は、WordPressでIPアドレスをブロックすることもできます。
5. WordPressでのスパムユーザー登録の停止(ベストプラクティス)
会員サイトやWooCommerceストアでは、スパム登録は迷惑以上のものです。偽のアカウントはユーザーデータベースを詰まらせ、顧客とメールの指標を歪めます。
WordPressでスパムユーザー登録を防ぐためにできることは次のとおりです。
必要ないときは登録をオフにする
会員サイトやeコマースストアを運営していない場合は、ユーザー登録を許可する必要はないでしょう。そこでのユーザー登録スパムを防ぐ最も簡単な方法は、それをオフにすることです。
WordPress管理エリアの設定 » 一般に移動し、「誰でも登録可能」のチェックを外すだけです。

アカウントがアクティブになる前にメール確認を要求する
オープン登録が必要な場合は、目標は、スパムボットを排除しながら、実際のユーザーのみを受け入れることです。最も多くの偽のサインアップを停止する設定は、アカウントが公開される前に確認済みのメールアドレスまたは手動レビューを要求することです。
その制御が存在する場所は、WordPressでユーザー登録を管理するために使用しているプラグインによって異なります。一般的なフォームプラグインをすでにこれを処理しているシステムに追加するのではなく、プラットフォームのデフォルト設定から始めることをお勧めします。
WooCommerceストアを運営している場合は、WooCommerce » 設定 » アカウントとプライバシーに移動します。ここで、買い物客がアカウントを作成できるかどうか、アカウント作成をチェックアウトに制限するか、ゲストチェックアウトをオンにしてアカウント作成を不要にするかを決定します。

WooCommerceコアは、それ自体では個別のメール確認ステップを追加しません。必要な場合は、カスタムメール検証拡張機能または以下で説明するカスタムサインアップフォームが必要になります。
他のメンバーシップおよびコースプラットフォームは、独自のさまざまな設定でアカウント検証を処理するため、まずそこから始めてください。
- MemberPress: WordPressは登録時にアカウントを作成するため、無料のUser Verificationプラグインと組み合わせて、ユーザーがメールを確認するまでアカウントを非アクティブに保ちます。詳細についてはMemberPressのドキュメントを参照してください。
- BuddyPressおよびBuddyBoss: メールアクティベーションが組み込まれているため、新しいメンバーはアクティベーションリンクをクリックするまで非アクティブなままです。登録を有効にするには、設定 » 一般(BuddyPress)またはBuddyBoss » 設定 » ログインと登録に移動します。BuddyPressドキュメントおよびBuddyBossドキュメントで詳細を確認してください。
- LearnDash: 登録はWordPress独自のユーザーシステムで実行されるため、ネイティブのメール確認ステップはありません。アカウントは、誰かがサインアップした瞬間に有効になります。メールが検証されるまで新しいアカウントを保持するには、ユーザー検証プラグインまたは以下で説明するカスタムWPForms登録フォームを使用して、WordPressまたはフォームレベルでそのチェックを追加します。
上記のいずれかのシステムを使用するのではなくカスタム登録フォームを構築している場合は、WPForms User Registrationアドオンを使用できます。これにより、フォームのユーザー登録設定で、メール確認リンクまたは管理者の手動承認のいずれかを使用してメールアクティベーションをオンにできます。

Gravity Forms、WSForm、およびその他の一般的なWordPressフォームプラグインでも同様のオプションが利用可能です。完全なチュートリアルについては、新しいユーザー登録をモデレートする方法に関するガイドを参照してください。
WordPressサインアップフォームにCAPTCHAとHoneypotを追加する
WordPressのコンタクトフォームを保護するためのヒントは、WordPressのサインアップフォームにも有効です。以前にCloudflare Turnstileを設定したばかりなので、クリックするだけで登録フォームでオンにできます。
専用のチュートリアルについては、ログインおよび登録フォームにCAPTCHAを追加する方法に関するガイドを参照してください。
デフォルトのWordPress登録ページを使用している場合は、無料のWP Armourプラグインを使用して、登録フォームに非表示のハニーポットフィールドを追加できます。このプラグインは、ブロックしたすべてのボットをWP Armour » Statisticsに記録します。

AI搭載ツールを使用してWordPress登録スパムをブロックする
ハニーポットとCAPTCHAは明白なボットを停止しますが、使い捨てメールや既知の悪いIPアドレスからのサインアップを検出することはできません。
そこで自動検出が役立ちます。新しいサインアップごとにライブの評判データに対してスクリーニングを行い、不正に見えるものをブロックします。
ActiveLayerとCleanTalkはどちらもWordPressの登録にこれを提供しており、コンタクトフォームと同じ方法でサインアップフォームでも有効にできます。
6. サイト全体のWordPressファイアウォールを追加する
Webアプリケーションファイアウォール(WAF)は、すべての訪問者をスクリーニングし、悪意のあるリクエストがサイトに到達する前にブロックします。ほとんどのフォームスパムは自動化されているため、優れたファイアウォールは境界でかなりの量を阻止できます。
DNSレベルのファイアウォールを推奨します。これは、トラフィックがサーバーに触れる前にプロバイダーのネットワークでフィルタリングします。
WPBeginnerではCloudflareを使用しています。これは、基本的なファイアウォール保護を備えた無料プランを提供しています(設定には、ドメインのネームサーバーをCloudflareに向ける必要があります)。

無料のCloudflare CDNとファイアウォールの設定方法に関するガイドで、手順を説明しています。
さらに、最高のWordPressファイアウォールプラグインのまとめでは、他のオプションを比較しています。
7. WordPressスパムのクリーンアップと継続的な監視
新しいスパムを停止するのは仕事の半分にすぎません。ほとんどのウェブサイトと同様に、すでにクリーンアップが必要な古いジャンクのバックログがあります。
簡単なクリーンアップは、データベースを整理し、新しいツールが最高のパフォーマンスを発揮するのに役立ちます。
🚨 一括削除する前に、必ず完全なWordPressバックアップを作成してください。これらの操作はデータを永久に消去し、間違いがあった場合の元に戻すボタンはありません。
既存のスパムコメントを一括削除
WordPressのスパムフィルターはジャンクコメントをフラグ付けしますが、削除しないため、クリアするまでスパムフォルダに蓄積し、データベーススペースを占有する可能性があります。
ダッシュボードで、**コメント**に移動し、上部にある「スパム」フィルターをクリックし、「スパムを空にする」をクリックして、フィルターがキャッチしたすべてを永久にクリアします。

数千ものジャンクコメントがある場合、ダッシュボードがフリーズしたりタイムアウトしたりする可能性があります。WP Bulk Deleteのような無料プラグインは、大量のバックログに対してより高速で信頼性があります。
他の方法については、WordPressコメントを一括削除する方法に関するガイドを参照してください。
既存の偽ユーザーアカウントをクリーンアウト
ボットプロファイルをデータベースに残しておくと、セキュリティリスクとなり、分析が歪められます。そのため、これらの偽アカウントをクリーンアウトすることが重要です。
数個の場合は、**ユーザー » 全ユーザー**に移動し、「購読者」ユーザーロールフィルター(ほとんどすべての登録ボットが使用するロール)をクリックし、偽のアカウントを選択し、「一括アクション」メニューから「削除」を選択します。
⚠️ 偽の購読者アカウントのみを選択するように細心の注意を払い、管理者アカウントは絶対に選択しないでください。

数千ものアカウントの場合は、無料のWP Bulk Deleteプラグインを使用して、ロール、非アクティブ、または登録日ごとにユーザーを一括削除できます。
詳細については、ロールごとにWordPressユーザーを一括削除する方法に関するガイドを参照してください。
誤検出の処理
完璧なフィルターはありませんので、最初に簡単に確認せずにスパムフォルダを自動削除しないでください。
コメント » スパムで、正規のコメントにカーソルを合わせ、「スパムではない」をクリックします。これにより、フィルターは同様のコメントを将来的に安全なものとして認識するようになります。

毎月のスパム対策レビューを習慣にする
月に数分間、スパムが再び積み上がるのを防ぎます。メンテナンスの習慣にこれらの3つのチェックを追加してください:
- 誤検出をスキャンする:スパムコメントフォルダとフォームのエントリをざっと見て、実際のメッセージが誤ってキャッチされていないことを確認します。
- スパムフォルダを空にする:本物のメッセージを救出したら、データベースをスリムに保つためにそれらをクリアします。
- ユーザーリストを確認する:新しい登録で、すり抜けた意味不明なユーザー名や疑わしいメールドメインがないか確認します。
主なポイント
WordPressウェブサイトをスパムから完全に保護するためにカバーしたベストプラクティスの概要を以下に示します:
- 無料のWordPress設定から始める:コメントモデレーションをオンにし、リンク制限を厳しくし、コメントブロックリストを作成し、トラックバックを無効にします。これらは無料であり、最も簡単なスパムをクリアします。
- 自動で目に見えないフィルタリングを使用する:ActiveLayer、Akismet、またはCleanTalkのようなサーバーサイドツールは、実際の訪問者にパズルを解かせることなく、バックグラウンドでボットをブロックします。
- コンタクトフォームの防御を重ねる:ハニーポットだけでは最新のボットを止めることはできなくなったため、タイミングチェック、トークン検証、自動フィルタリングと組み合わせます。
- 登録を保護する:新しいアカウントにはメール確認を要求し、自動ツールで各サインアップをスクリーニングします。
- サイト全体のファイアウォールを追加する:CloudflareのようなDNSレベルのファイアウォールは、フォームに到達する前に、多くの自動スパムを境界でブロックします。
- 定期的なクリーンアップを実行する:古いスパムコメントと偽のアカウントを一括削除し、毎月数分かけて誤検出がないか確認します。
WordPressスパム保護に関するよくある質問
無料のAkismetスタイルのフィルタリングで十分ですか、それとももっと必要ですか?
コメントスパムしかない小さな個人ブログの場合、Akismetのような単一の無料フィルターで十分なことがほとんどです。コンタクトフォーム、サインアップフォーム、またはユーザー登録を追加すると、ActiveLayerやCleanTalkのような、それらも保護するサービスが必要になります。
CAPTCHAを追加するとフォームのコンバージョンが悪化しますか?
悪化する可能性があります。追加の手順により、実際の訪問者の一部がフォームを諦めてしまいます。そのため、私たちは、誰もパズルを解くように要求することなくボットをブロックする、目に見えないサーバーサイド検出を好みます。
スパム対策プラグインをインストールした後もスパムが届くのはなぜですか?
通常、プラグインは1つのエントリーポイントしか保護しないためです。コメントは保護しても、サインアップフォームやコンタクトフォームを保護しない場合、ボットは代わりにそれらに移動し、基本的なハニーポットのような古いトリックは最新のボットを止められなくなります。解決策は、レイヤードセットアップです。組み込みのWordPress設定、自動フィルター、および連携して機能するファイアウォールです。
サインアップを完全にオフにせずに、偽のユーザー登録を停止するにはどうすればよいですか?
メール確認をオンにすると、ボットが行えない受信トレイ内のリンクをクリックするまで、新しいアカウントは非アクティブなままになります。ハニーポットと自動フィルターと組み合わせれば、実際のユーザーは自由に登録できます。
スパムは実際に私のSEOに悪影響を与えたり、私のサイトをブラックリストに載せたりする可能性がありますか?
可能性がありますが、スパムがどこにあるかによります。モデレーションキューにあるコメントスパムは公開されないため、検索エンジンはそれを見ることはなく、あなたのSEOは安全です。
公開されたスパムが本当のリスクであり、ランキングを徐々に低下させる可能性があります。WordPressはコメントリンクをnofollowタグ付けするため、ダメージは限定的です。
この記事がWordPressウェブサイトをスパムから保護する方法を学ぶのに役立ったことを願っています。ウェブサイトのセキュリティを向上させるために、究極のWordPressセキュリティガイドも確認することをお勧めします。
この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。


質問や提案はありますか?コメントを残して、議論を開始してください。